Forum
Bildirimler
Hepsini Temizle
Windows Server
4
Yazılar
2
Üyeler
0
Reactions
1,665
Görüntüleme
Konu başlatıcı
Sunucuda psexesvc isimli bir hizmet kendiliğinden devreye giriyor ve
| %SystemRoot%\PSEXESVC.exe |
şeklinde bir komut çalıştırıyor ve sistem kapanıyor. bunu nasıl tespit ederim ve nasıl engellerim acaba ? sistem logları aşağıdaki şekilde.
Bilgi 11.3.2016 13:03:04 User32 1074 Yok
C:\Windows\system32\shutdown.exe (SERVERV3) işlemi SERVERV3\Administrator kullanıcısı adına şu nedenle SERVERV3 bilgisayarının Kapat öğesini başlattı: Bu neden için bir başlık bulunamadı
Neden Kodu: 0x800000ff
Kapatma Türü: Kapat
Yorum:
Bilgi 11.3.2016 13:03:04 Service Control Manager 7036 Yok
PSEXESVC hizmeti Çalışıyor durumuna girdi.
Bilgi 11.3.2016 13:03:04 Service Control Manager 7045 Yok
Sisteme bir hizmet yüklendi.
Hizmet Adı: PSEXESVC
Hizmet Dosya Adı: %SystemRoot%\PSEXESVC.exe
Hizmet Türü: kullanıcı modu hizmet
Hizmet Başlatma Türü: isteğe bağlı başlatma
Hizmet Hesabı: LocalSystem
Gönderildi : 11/03/2016 19:10
Merhaba,
PsExec uygulamasının servisi olması lazım uzaktan cmd komutu çalıştırmaya yarar. İlgili dosyayı silin ve PsExec ile ilgili dosyalar varsa onlarıda silin. Ayrıca sunucunuzu virüs taramasından geçirin, firewall aktif edin.
Gönderildi : 11/03/2016 20:39
Konu başlatıcı
PSEXESVC isminde yada buna yakın
ps.svc
psexe.svc vb çeşitlerinde hiç bir dosya yok. hizmetlerde de görünmüyor.
Gönderildi : 11/03/2016 21:32
Konu başlatıcı
Shutdown işlemini çözdüm bu seferde sql server ve sql agent stop ediyor.
psexsvc dosyasını buldum iptal ettim servi kaydını yakaldım onuda devre dışı bıraktım.
server stop işlemindeki günlük kaydı aşağıdadır
Günlük Adı: System
Kaynak: Service Control Manager
Tarih: 12.3.2016 13:15:33
Olay Kimliği: 7036
Görev Kategorisi:Yok
Düzey: Bilgi
Anahtar sözcükler:Klasik
Kullanıcı: Yok
Bilgisayar: SERVERx3
Açıklama:
SQL Server (MSSQLSERVER) hizmeti durduruldu durumuna girdi.
Olay Xml'si:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
<EventID Qualifiers="16384">7036</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2016-03-12T11:15:33.757787600Z" />
<EventRecordID>4173</EventRecordID>
<Correlation />
<Execution ProcessID="976" ThreadID="2696" />
<Channel>System</Channel>
<Computer>SERVERV3</Computer>
<Security />
</System>
<EventData>
<Data Name="param1">SQL Server (MSSQLSERVER)</Data>
<Data Name="param2">durduruldu</Data>
<Binary>4D005300530051004C005300450052005600450052002F0031000000</Binary>
</EventData>
</Event>
Gönderildi : 12/03/2016 19:05
